文 / 中国人民银行天津分行  薛佩

数据安全是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。保障数据安全就是保障数据在采集、存储、加工、传输、使用、销毁等全生命周期的安全性。数据安全与信息安全在本质上是一致的,在实践中,数据安全更注重个人数据及隐私、敏感数据等重要信息资产的生命周期保护,是对传统信息安全的提升和补充。

金融行业数据安全主要风险点

由于金融行业数据价值的凸显和商业利益的驱动,数据非法采集、数据贩卖、数据篡改、数据攻击、数据权限滥用等安全问题层出不穷。2020年全球数据泄露达到360亿条,创历史新高,攻击数据安全类型更加多样化。习近平总书记多次强调“没有网络安全就没有国家安全,没有信息化就没有现代化”。如何保障数据安全,促进数据合法、安全,有效流通,充分发挥数据综合价值,是金融行业面临的重要课题。现阶段金融业数据安全风险点主要分为以下4类。

1.数据开放性显著增强。随着技术的发展和环境的影响(如新冠肺炎疫情的爆发),金融行业线上业务增多,很多重要数据由传统的线下保存方式变为线上存储,提升了数据的流通性。金融行业为拓宽业务需求,逐渐增加应用开放式API,与外部场景共享数据愈加频繁,通过API、SDK等技术手段,打破过去银行之间、银行与非银行金融机构之间以及金融机构与非金融机构之间的壁垒隔阂,使得金融服务能够跨越时间、空间、行业等多重制约因素,形成接口的开放、用户的开放、数据的开放。例如手机银行APP业务覆盖面越来越广,用途逐渐多样化。上述变化提升了用户的便利性,拓宽了新业务,促进了经济发展,但对于数据安全而言无疑是增加了数据泄露的风险。数据各关联方彼此相连,一方面临的风险将迅速蔓延到其他相关方,从而发生系统性风险,并且安全风险变得更加复杂,也愈发隐蔽,破坏性强。另一方面,金融行业普遍应用云计算服务,数据和计算资源分布在不同的虚拟节点中,能够提高存储空间,灵活利用,但是某个虚拟节点发生安全风险将会引起连锁反应,可能引起全局数据安全。

2.数据安全保护意识有待提升。目前很多业务或技术人员对数据安全管理目标不明晰,数据安全意识和风险防范意识不强,认为数据安全只是安全团队人员的事情,存在“重业务、轻风险”的思想。在操作层面有“以习惯代替制度”的问题,不按流程处理业务,内部安全审计不足等情况时有发生。虽然数据和系统安全定级有相关明确的制度要求和安全防护措施,如审批、授权访问、动态令牌、USBKEY等防护措施,但在实际执行方面存在不足,部分业务人员认为数据安全保护制度和措施只是变相限制了操作权限,牺牲一定的“便利性”,认为“多此一举”,偶尔走“捷径”也没事。在实际操作中,由于安全意识不足,导致出现安全漏洞甚至是事故的概率增大,一旦出现漏洞,将付出严重代价,甚至会带来灾难性后果。

3.数据安全相关法律法规不完善、不健全。随着多年发展我国数据安全相关法律制度已取得很大进展,2021年度《关键信息基础设施安全保护条例》《数据安全法》以及《个人信息保护法》正式实施,与2017年已实施的《网络安全法》,共同构架起了“三法一条例”的数据安全保障网,是数据安全领域的基本法律框架。但目前数据安全法律制度仍不完善,存在缺失关键性专门法规、边界覆盖不足、可操作性不强等问题。特别是大数据背景下,各类数据跨行业、跨机构的交换传输越来越多、数据之间的界限越来越模糊,导致监管依据缺失、监管权限不足的问题。相对于银行,在金融和互联网结合的领域,如小额贷款公司、融资担保公司等金融领域,数据监管的制度更为缺乏。个人金融数据的保护相对完善,但对于金融数据中的客户数据、监管数据等仍缺乏法律规范。

4.数据权属关系不明确。数据安全治理的难点和重点在于明确数据的权属关系。数据在生命周期各个阶段没有明确权属关系,数据安全的控制范围和责任就难以确定,安全也就无法管理。在数据的采集、存储、传输、处理、使用等环节,数据可能在不同的部门或机构直接流通,而每个环节的数据权属关系是不同的。在数据采集阶段,过度采集用户隐私数据的行为非常普遍,缺乏合理的授权制度和有效的约束措施将形成“过度收集”。如APP等应用过度收集个人隐私信息。在数据存储阶段,如果数据脱离所有者的掌握和相关部门的监管,数据保管者的权力就会被过度放大。在数据传输阶段,倒卖用户数据的事情时有发生。在数据处理阶段,对数据集进行处理加工所得出的新数据归谁所有尚没有定论。在数据使用阶段,由数据产生的经济效益如何分配还欠缺适用的理论指导。《数据安全法》虽然从宏观角度确定了数据安全的法规蓝图设计,但现阶段还没有对数据权属问题进行明确的法律规定,金融行业也需出台相关实施细则。

5.新技术攻击手段多样化、层出不穷。云存储、大数据分析、人工智能等技术的发展,催生出很多新型、高级的网络攻击手段,使得传统的检测、防御技术暴露出严重不足,无法有效抵御外界的入侵攻击。传统防护通过在网络边界部署防火墙、IPS、IDS等安全设备,以流量分析和边界防护的方式提供保护,而大数据环境下的高级可持续攻击(APT),通常具有隐蔽性高、感知困难等特点,常规安全措施基本无法防御。大数据环境下的网络攻击手段及攻击程序大量增多,借助云计算强大的算力,结合人工智能、大数据等新型技术更加智能地进行数据安全攻击,导致许多传统安全防护体系无法应对的问题,数据安全所面临的风险不断增加。黑客利用大数据技术将攻击很好地隐藏起来,传统的防护策略难以被检测出来。如非法采集数据和攻击网站案例越来越多,其手段更具有隐蔽性和持续性,这对传统的数据保护技术提出了新挑战。

数据安全防护策略

保障金融业数据安全不仅仅是用工具组合的产品解决方案,应该从法律法规到管理办法的制度保障,从技术实施到工具支持的落地应用,自上而下贯穿金融行业全方面架构的完整链条。

1.提高数据安全意识。安全意识是对数据安全重要性的认知,是对数据全生命周期整体的风险意识。不同职责人员都应该知悉数据安全的含义、数据安全形势、相关法律法规及制度要求,以及触犯数据安全所造成的后果等内容。一是加强安全意识的宣传。通过定期安全宣传手段普及安全制度,建立并强化全员的安全意识,宣传内容可以包括数据安全分类,不同岗位的安全职责,数据安全保护法律法规,违法安全问题带来的后果等,不定期进行安全制度考核,激励人员积极关注数据安全。二是对安全技能的培训。针对不同岗位所需的安全知识和技能进行培训,培训不仅能学习安全领域基本原理,而且能对实际工作技能有所提升,相对于宣传更深入,操作性更强,更加有针对性,逐步加强数据安全保护意识。

2.明确数据所属的权利和责任。在建立数据安全管理体系中,必须要优先做好安全控制的顶层设计,明确不同的数据关联角色权利和责任,依据不同角色制定不同的保护策略,形成差异化的安全策略,建立组织内重要数据保护责任制度。数据从产生到消亡的生命周期各个阶段,主要涉及四类角色,即:数据所有者、数据生产者、数据使用者和数据管理者。对数据资产确定这四类角色的权利和责任。在数据生命周期中,根据管理制度定义出数据的所有者、生产者、管理者、使用者,明确各角色的权利是建立数据问责制度的基础,数据安全责任落实到部门和个人,才能合法、合理,有框架、有边界地利用数据,杜绝信息滥用,大数据杀熟,网络诈骗,非法数据交易等问题。角色授权应遵循最小可用原则,授权的控制粒度应达到用户级、文件级、数据库表级、记录级或字段级。通过角色权利赋予相应的职责责任,明确操作规范和制定及发布数据标准,编制数据认责管理办法及流程。

3.进一步建立和完善相关制度。金融数据普遍具有跨部门、跨行业的特点,覆盖面广、关联性强,使得分行业监管措施对于金融数据的监管存在一定的不足之处。一是建议出台统一的数据监管法或金融数据监管规定,依据统一的立法规定规范各行各业采集、处理、保存及使用数据的流程,推动数据安全广泛应用。二是我国现有关于数据管理的政府职责分工难以应对大数据、人工智能等场景,对场外交易、影子银行业务、新兴的金融业务针对性不强,应明确监管机构责任,防止推诿扯皮,加强监管落实。三是针对数据安全相关法律法规所引入的如数据分级分类制度、境外执法机关调取境内数据的报告制度、部分数据出口管制制度、外国歧视性措施的反制措施等制度,需要进一步细化相关制度和联动机制。

4.加强数据安全防护技术的升级与提升。现在大数据、人工智能等新技术被应用于安全攻击,攻击手段更隐蔽,强度更大,传统的数据安全保护,如设置访问规则,发现问题查看流量数据和日志数据等防御措施都是被动的,与人工智能等技术的主动攻击方式是不匹配的。通过引入自然语言处理、用户异常行为分析、知识图谱等新技术与传统的安全防御技术融合,能够进行不同场景下的流量分析、恶意代码分析、网络攻击追踪和溯源,可以自动、智能地解决新问题,提升安全检测的准确性。针对不同的攻击模型,人工智能、深度学习、大数据技术等技术能够通过攻击特征与规律的分析,迅速构建相应的入侵检测模型,提高入侵攻击检测的准确度,减少人工干预,把安全防御模式由被动变主动。

声明:本文来自金融电子化,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。